Pioneer Kitten APT 出售公司網絡訪問權限

總部位于伊朗的APT利用開源工具和已知的漏洞滲透了多個vpn。

一個名為 Pioneer Kitten APT 組織，與伊朗有關，被發現在黑客論壇上出售企業網絡證書。這些憑證可以讓其他網絡犯罪集團和APTs進行網絡間諜活動和其他邪惡的網絡活動。

Pioneer Kitten APT 是一個黑客組織，專門利用開源工具侵入公司網絡，破壞遠程外部服務。CrowdStrike intelligence的高級情報分析師 Alex Orleans 周一在博客上發帖稱，研究人員觀察到，與該集團有關的一名演員今年7月在一個地下論壇發布了進入受攻擊網絡的廣告。

PIONEER KITTEN

起源	伊朗伊斯蘭共和國
目標國家	以色列，中東北非（MENA）， 北美，美國
最近一次活動	2020年7月（最早：2017年）
目標行業	高度投機，專注于技術，政府，國防和醫療保健
社區標識符	PARISITE，UNC757，Fox Kitten
動機	間諜

“Pioneer Kitten”的工作與伊朗政府贊助或運營的其他組織有關，這些組織以前曾被發現侵入vpn，并在世界各地的公司中植入后門。

事實上，黑客論壇上的證書銷售似乎表明“這是一種實現收入來源多樣化的潛在嘗試”，以補充“支持伊朗政府的有針對性的入侵行動”。然而，Orleans指出，2017年成立的Pioneer Kitten公司似乎不是由伊朗政府直接運營的，但它相當同情伊朗政權，很可能是一家私人承包商。

他寫道，Pioneer Kitten的主要運營模式依賴于SSH隧道，使用Ngrok等開源工具和SSHMinion等定制工具。Orleans解釋說，該小組使用這些工具“通過遠程桌面協議(RDP)通過植入 hands-on-keyboard 活動”進行通信，利用vpn和網絡設備的漏洞來完成其工作。

CrowdStrike觀察到該小組利用了幾個關鍵的利用，尤其是CVE-2019-11510、CVE-2019-19781和最近的CVE-2020-5902。這三種攻擊都影響到vpn和網絡設備，包括Pulse Secure“Connect”企業VPN、Citrix服務器和網絡網關以及F5 Networks BIG-IP負載均衡器。

據CrowdStrike稱，“Pioneer Kitten”的目標是北美和以色列各部門的組織，這些組織對伊朗政府有某種情報興趣。目標行業包括技術、政府、國防、醫療保健、航空、媒體、學術、工程、咨詢和專業服務、化工、制造業、金融服務、保險和零售。

盡管伊朗的活動不像中國和俄羅斯等其他民族國家的威脅那樣廣為人知或廣泛，但它近年來已成為一個強大的網絡敵人，聚集了大量APTs來對其政治對手發起攻擊。

其中，Charming kit（也被稱為APT35, Ajax或P）似乎是最活躍和危險的，而其他有著相似名字的似乎是副產品或支持團體。總的來說，伊朗最近似乎在加強其網絡活動。事實上，在CrowdStrike的報道之前，有消息稱“可愛的小貓”最近也重新浮出水面。一項新的活動正在使用LinkedIn和WhatsApp來說服目標用戶——包括以色列大學學者和美國政府雇員，點擊一個可以竊取證書的惡意鏈接。

“Charming kit”自2014年開始運營，以政治動機和社會策劃的攻擊而聞名，經常使用網絡釣魚作為攻擊的選擇。APT利用巧妙的社會工程來誘捕受害者，其目標是與特朗普2020年連任競選、公眾人物和人權活動人士等相關的電子郵件賬戶。